Treść książki

Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
36
Rozdział2:KluczowekoncepcjesystemuWindows
procesu,wstrzykiwaćkod,wstrzymywaćiwznawiaćwątki,atakżezakończyćproces5.
Napastnik,któryuzyskaurpawnieniaadministracyjne,możebeztrudupokonaćsyste-
mychroniąceprzedzłośliwymoprogramowaniemiprzeprowadzićataktypu„przesła-
niehasza”przyużyciupoświadczeńwykradzionychzLsass.exe6.Procesychronione
zmieniająteregułydostępu,przezconawetkontoSystemiinneuprzywilejowane
kontaadministracyjneblokowaneprzyniemaldowolnejpróbiekontrolilubdostępu
dotychwrażliwychprocesów.
SystemWindowsdesygnujeokreśloneprocesyjakochronionebazującnaspecjal-
nympodpisiecyfrowymzawartymwplikachobrazuprocesu.Niektóreprocesyzawsze
chronionemożnatuwymienićprocesSystem,Smss.exe,Wininit.exeorazServices.
exe.Dziękizapewnieniu,żewszystkieprocesypotomnekażdegoprocesuchronionego
równieżchronione,systemWindowsustanawiałańcuchzaufaniadlatejochrony
.
Ustawieniakonfiguracyjnepozwalająwłączyćochronętakżedlainnychprocesów,
takichjakLsass.exeiwybraneusługi,takiejakoprogramowanieantywirusowe,oile
ichplikiobrazówrównieżspecjalniepodpisane.
Gdyproceswywołującypróbujeuzyskaćdostępdoprocesu,którysystemozna-
kowałjakochroniony
,jądroWindowsprzyznajejedynieminimalnyzestawograni-
czonychuprawnień,któreniezawierająmożliwościiodczytywanialubzapisywania
pamięcianiwstrzykiwaniakodudoprocesu,oilewywołującysamniejestrównież
procesemchronionymowyższympierwszeństwieochrony
.Analogiczneograniczenia
stosowanedopróbdostępudowątkówchronionychprocesów.Dodatkowoprocesy
chronionemogąładowaćtylkospecjalniepodpisanebibliotekiDLL,przezconiezaufa-
nykodniemożezostaćuruchomionywtymprocesie.Zabezpieczatorównieżprzed
próbamiwykorzystaniamechanizmupodkładekzapewniającychkompatybilnośćapli-
kacjidozaładowaniaDLL-ipodkładekdoprocesu.
SystemWindowsdefiniujekilkatypówprocesówchronionych:
PsProtectedSignerAuthenticode
PsProtectedSignerCodeGen
PsProtectedSignerAntimalware
PsProtectedSignerLsa
PsProtectedSignerWindows
PsProtectedSignerWinTcb
5UprawnienieDebugProgramsjestniewątpliwiepotężnymprzywilejem,którepowinnobyćprzy-
znawanejedynieadministratorom.Niektóreporadnikizabezpieczeńzalecają,abynieprzyznawać
tegouprawnienianawetgrupieAdministrators.Jesttojednakzłarada,gdyżzakłócawykonywa-
nieuzasadnionychdziałańadministracyjnych,ajednocześnieobejścietego„zabezpieczenia”jest
trywialniełatwe.
6ChybażewłączonajestfunkcjaCredentialGuard(Ochronapoświadczeń)systemuWindows10.